Grundlagen der Cloud-Security - Info-Point

White Paper
Grundlagen der Cloud-Security:
So schaffen Sie Sicherheit für
Cloud-basierte Anwendungen
Inhalt
Kurzdarstellung....................................................................................................... 3
Hacker knacken Ihre Cloud in weniger als einer Minute................................ 3
Die unsichtbare Bedrohung..................................................................................4
Wie sieht Ihre Sicherheitsrichtlinie aus?............................................................4
Jetzt ist Zeit zum Handeln.................................................................................... 5
Zukünftige Sicherheitslösungen sind keine Hilfe
bei Bedrohungen von HEUTE............................................................................... 5
Kein reiner Marketing-Hype.................................................................................6
Sechs Schritte, um heute zu gewährleisten, dass Ihre Cloud sicher ist....... 7
Kurzdarstellung
Alle sprechen heute über Cloud Computing. Aber: Die
Technologie birgt auch ein erhebliches Sicherheitsrisiko,
das sich durch ihre rasend schnelle Verbreitung noch
verschärft. Der Hype um Cloud Computing kann somit
leicht ein jähes Ende finden und die Hoffnungen von
Anwendern und Anbietern zerplatzen lassen.
Cloud Computing, Saas, Paas, Iaas ... was auch immer
– alle haben gemeinsam, dass sie Anwendungen
oder Infrastrukturen nach Bedarf bereitstellen. Es
ist faszinierend zu sehen, wie das Phänomen um
sich greift: Heute kommen wir ständig mit Cloud
Computing in Berührung; sei es über Hotmail, Gmail,
GoogleApps, Salesforce.com oder die vielen anderen
Anwendungen, die bereits Cloud-basiert sind. Früher
hatten Anwenderunternehmen mit Kapitalinvestitionen
zu kämpfen, mit Problemen der Implementierung, der
laufenden Verwaltung oder der Skalierbarkeit – Cloud
Computing macht ihnen das Leben wesentlich leichter.
Allerdings: Die meisten Implementationen von Cloudbasierten Diensten sind nicht ausreichend geschützt
und verwenden zur Authentifizierung von Anwendern
konventionelle Passwörter. Das bedeutet, sie sind im
Allgemeinen leichte Ziele für Hacking-Angriffe. Das alleine
ist schon beunruhigend. GROSSE Sorge bereitet aber, dass
die Anwendung der meisten Tipps aus dem Internet Ihre
Cloud HEUTE gar nicht schützen können. Meist geht es
dabei um „Zukunfts“-Lösungen wie OpenID oder SAML.
Dieses White Paper bietet Hinweise und stellt Lösungen
vor, mit denen Sie Ihre Daten schon jetzt schützen können.
Hacker knacken Ihre Cloud in
weniger als einer Minute
Branchenexperten warnen: Unternehmen, die sich von den
Vorteilen des Cloud Computing überzeugen lassen, laufen
Gefahr, ihre Sicherheitsregelungen nicht entsprechend
zu aktualisieren. Wenn Mitarbeiter soziale Netzwerke
und Online-Marktplätze wie Amazon und eBay nutzen,
werden sie dabei meist dasselbe Passwort verwenden
wie für Ihre Cloud-basierten Anwendungen. Das erging
Twitter im Juli 2009 so, als ein Hacker über das GmailKonto eines Mitarbeiters, dessen Passwörter erraten hatte
und Zugriff auf GoogleApps erlangte. Die Folge war die
Veröffentlichung streng vertraulicher Dokumente.
Wer auf die Webmail einer Person zugreift, erhält
praktisch Zugang zu seiner Identität: zu Kreditkartendaten,
Daten von Verwandten und Freunden und zu
Unternehmensdaten. Der Sicherheitsexperte und
ehemalige Ethical Hacker Jason Hart warnt, dass der
Einstieg in die virtuelle Welt über Cloud-basierte
Technologien in einer virtuellen Katastrophe enden
könnte, wenn die Unternehmen nicht sofort handeln. „Ich
befürchte, dass die Sicherheitsversprechen vieler Anbieter
und Provider nur Lippenbekenntnisse sind und dass sie
sich mehr vom Hype als von der Realität der Situation
beeinflussen lassen. Alle Dienste und Plattformen, die
ich sehe, sind immer noch nur durch ein konventionelles
Passwort geschützt. Und das reicht gegen Hacker nicht aus,
wie die jüngsten Angriffe gegen Twitter zeigten“, erläutert
Hart, heute Senior Vice President Europe beim Passwordas-a-Service- Anbieter CRYPTOCard.
Der Hype
Das National Institute of Standards and Technology (NIST) und die Cloud Security Alliance definieren die Cloud als „ein Modell, das einen
komfortablen, bedarfsbestimmten und netzwerkbasierten Zugriff auf einen gemeinsam genutzten Pool konfigurierbarer IT-Ressourcen (z.
B. Netzwerke, Server, Speicher, Anwendungen und Services) ermöglicht, die schnell, mit minimalem Managementaufwand und minimaler
Interaktion des Serviceanbieters bereitgestellt und freigegeben werden können.“ Von den Pay-as-you-go-Diensten profitieren Unternehmen
aller Größen. Sie zahlen nur für die tatsächliche Nutzung, wie bei einem Strom-, Gas- oder Wasserversorger.
2
3
Ein Passwort lässt sich einfach herausbekommen. Anhand
von Informationen wie dem Lieblingsort, dem Namen
des Partners oder dem Mädchennamen der Mutter,
die man über StayFriends, Facebook oder einfach im
Gespräch erhält. Entsprechende Tools sind sogar frei im
Internet erhältlich. Während Hacker immer noch auf
traditionelle Methoden wie Keylogging und Phishing
setzen, bietet die Verbreitung sozialer Netzwerke
jetzt jedem die Möglichkeit, zum Hacker zu werden:
unzufriedenen Mitarbeitern, Wettbewerbern oder einfach
den Überneugierigen. Ob per Technik oder über soziale
Netzwerke, häufig dauert es nicht einmal eine Minute, ein
Passwort herauszufinden.
Dass immer mehr demografische Daten im Umlauf
sind, verschärft die Bedrohung durch Passwort- und
Online-Identitätsdiebstahl. Wir befinden uns in
einer Ära der unsichtbaren Bedrohung: Mit einem
gültigen Benutzernamen und Passwort lassen sich alle
Sicherheitskontrollen in einem Unternehmen umgehen.
Und der Einsatz von Cloud-basierten Technologien
vervielfacht diese Bedrohung noch.
Nicht nur für kleinere Unternehmen
Die Verbreitung von Cloud Computing nimmt zu, und das
nicht nur in kleineren Unternehmen. Rentokil Initial und
Jaguar Land Rover meldeten kürzlich die Migration von
insgesamt 50.000 Mitarbeitern auf Googles gehostete
Büroanwendungspakete. Die Einführung von Cloudbasierten Diensten für 35.000 Mitarbeiter bei Rentokil Initial
war der bisher größte Rollout. Das Unternehmen wird das
Internet-basierte Kommunikations- und Kollaborationspaket
in fünfzig Ländern einsetzen. Bis zu 15.000 Mitarbeiter
bei Jaguar Land Rover können über Google Apps Premiere
Edition jetzt von jedem Gerät mit Internet-Anschluss
aus auf E-Mail- und Kalenderdienste zugreifen. Beide
Unternehmen nannten erhebliche Kosteneinsparungen als
Entscheidungsfaktoren.
Die unsichtbare Bedrohung
Die Nutzung sozialer Netzwerke hat in den letzten Jahren
explosionsartig zugenommen. Soziale Netzwerke erfahren
in der Wirtschaft zunehmende Resonanz und Beachtung.
Andererseits machen sie Social-Engineering-Attacken nicht
nur versierten Hackern einfacher, sondern auch Nachbarn,
Mitarbeitern, Bekannten und Wettbewerbern. Die
vermehrte Nutzung sozialer Netzwerke verstärkt das damit
verbundene Sicherheitsrisiko massiv. Die Bedrohung stellt
dabei nicht das soziale Netzwerk selbst dar, sondern das
Social Engineering aufgrund der Informationen, die diese
Seiten Hackern bieten.
40 Prozent aller Mitarbeiter verwenden dasselbe Passwort
immer wieder: Für Webmail, soziale Netzwerke und auch
den Zugang zu Ihrem Firmennetzwerk, wie die Studie Trends
in Insider Compliance with Data Security Policies 2009 des
Ponemon Institute zeigt. Ihr Netzwerk ist also immer nur so
sicher wie sein schwächstes Glied, und statische Passwörter
bieten Hackern, Angreifern, Shoulder Surfern, Keyloggern
und sogar den neugierigen Nachbarn den einfachsten Weg
in Ihr Netzwerk. Die einfachste Methode beim OnlineBetrug ist der Diebstahl eines gültigen Benutzernamens
und Passworts per Keylogger oder Social Engineering alten
Stils. Sie würden es nicht einmal bemerken, es ist eine echte
„unsichtbare Bedrohung“.
Fran Howarth, Quocirca
Vertraulichkeit
Die Gewähr, dass Informationen nur zwischen
Berechtigten ausgetauscht werden. Zu
Vertraulichkeitsverletzungen kann es kommen,
wenn Daten nicht mit dem angemessenem
Vertraulichkeitsschutz gehandhabt werden.
Ursachen für die Offenlegung von Daten sind
Zugriffssteuerungen, schwache Passwörter, mündliche
Mitteilungen, Ausdrucke, Kopien, E-Mails oder das
Erstellen von Dokumenten und anderen Daten. Die
Klassifikation der Information bestimmt das Maß der
Vertraulichkeit und damit die Schutzmaßnahmen.
Integrität
Die Gewähr, dass Informationen authentisch und
vollständig sind. Es wird sichergestellt, dass Daten
ihrem Zweck entsprechend ausreichend korrekt sind.
„Integrität“ ist ein häufig auftauchendes Thema
in der Informationssicherheit, denn sie stellt einen
der wichtigsten Indikatoren für Sicherheit (oder ihr
Fehlen) dar. Die Integrität von Daten ist weniger
ein Maß der „Richtigkeit“ von Daten, sondern ihrer
Vertrauenswürdigkeit und Verlässlichkeit.
Verfügbarkeit
Die Gewähr, dass Systeme für die Bereitstellung,
Speicherung und Bearbeitung von Informationen bei
Bedarf von denen, die sie benötigen, genutzt werden
können.
Nachvollziehbarkeit
Die Gewähr, dass ein Unternehmen nachvollziehen
kann, wer von wo aus Zugriff auf die Systeme hat,
und welche Zugriffsaktivitäten durchgeführt wurden.
Es muss nachgewiesen werden, dass die Definition
und Vergabe von Passwörtern auf der Basis von Best
Practices erfolgt, um gesetzliche Vorgaben zu erfüllen.
Wie sieht Ihre Sicherheitsrichtlinie aus?
Die Definition einer effektiven Sicherheitsrichtlinie
ist ein wesentlicher Faktor bei der Entwicklung einer
Geschäftsstrategie und beim Verstehen und Minimieren
von Risiken, besonders da die IT ein Kernelement für Erfolg,
Wachstum und Effizienz jedes Unternehmens, unabhängig
vom Wirtschaftssegment, ist. Eine wirklich effektive
Richtlinie bietet mehr als Sicherheit und wirkt sich positiv auf
Unternehmenseffektivität, Kosten/Ertragskraft, Compliance
und Cashflow aus.
Unternehmen müssen sich also genau überlegen, ob ihnen
statische Passwörter die benötigte Sicherheit bieten. Bei der
Analyse von Risiken des Informationszugriffs in Unternehmen
unterscheiden wir hinsichtlich Benutzeridentitäten und
-authentifizierung vier Bereiche:
4
“Als Schutz vor aktuellen Sicherheitsbedrohungen empfiehlt Quocirca den
Einsatz stärkerer Authentifzierungsmethoden als nur Benutzernamen und
Passwörter, nämlich Sicherheitstoken. Sie bieten einen zusätzlichen Schutz, da
jedes Authentifizierungsereignis auf einem zusätzlichen Faktor basiert. Einem
Faktor, der den legitimen Anwender auszeichnet oder nur ihn charakterisiert.”
Jetzt ist Zeit zum Handeln
Unternehmen haben dafür zu sorgen, dass ihre eigenen
„Grenzen“ geschützt sind, und bei der Einführung jeder
Art von Cloud Computing müssen aufgrund der hierfür
charakteristischen Beziehung zu Fremdunternehmen die
Sicherheitsrichtlinien sofort überarbeitet werden. Selbst
Unternehmen, die mit der Einführung eines umfassenden
Cloud Computing noch zögern, ist vielleicht gar nicht klar,
dass sie bereits Anwendungen aus der Cloud nutzen.
Clients und Anwendungen wie Skype, MessageLabs,
Salesforce, Microsoft Online Services, Facebook, Twitter
and LinkedIn sind alle Cloud-basiert. Das Cloud Computing
revolutioniert die IT und das IT-Management, und
dieser Paradigmenwechsel macht es noch wichtiger,
dass Unternehmen ihre Sicherheitsrichtlinien sofort
überarbeiten.
Zukünftige Sicherheitslösungen sind keine
Hilfe bei Bedrohungen von HEUTE
Zu den höchsten Investitionen eines Unternehmens
gehören die Investitionen in Informationen. In zahlreichen
Firmen sind sie das geistige Kerneigentum, also ihr größtes
Vermögen. Ihr Verlust durch Diebstahl oder Betrug,
möglich gemacht durch mangelhafte Sicherheitsrichtlinien,
kann buchstäblich das Ende eines Unternehmens
bedeuteten. Sicherheitsmängel bei Cloud-basierten
Informationen werden in den nächsten Monaten und
Jahren eine der Hauptbedrohungen für Unternehmen sein.
5
Angesichts der laut Data Breach DB, einer Zentrale für
Informationen zu Verletzungen der Datensicherheit,
223 Millionen seit 2005 preisgegebenen Datensätzen
mit sensiblem Material und der Angriffe auf Twitter im
Juli 2009 müssen die Unternehmen die Datensicherheit
zur Priorität machen. Jason Hart bestätigt: „Meist
wird empfohlen, sich mit Federated ID und SAML zu
befassen. Doch diese Lösungen sind noch zu weit von
einer Vermarktung entfernt, um aktuelle Bedrohungen
zu stoppen. Ich würde allen Unternehmen also dringend
einige einfache Sofortmaßnahmen empfehlen, um den
größten Bedrohungen für Vertraulichkeit, Integrität,
Verfügbarkeit und Nachvollziehbarkeit ihrer Ressourcen
aus der Cloud zu begegnen: dem Passwort.“
Kein reiner Marketing-Hype
Richard Carty vom britischen Managed Services Provider
Netshield schließt sich diesem Rat an: „Für unsere
Kunden ist es eine echte Herausforderung, Cloudbasierte und Managed Services zu implementieren.
Unser Beratungsteam empfiehlt jedem Kunden, zuvor die
Richtlinien ihrer Dienstanbieter umfassend zu prüfen. Wir
erbringen bereits seit zehn Jahren Dienstleistungen im
Bereich Managed Security und uns liegt daran, dass jeder
unserer Kunden diesen Rat befolgt.“
In letzter Zeit gab es einen von Herstellern und
Dienstanbietern ausgehenden großen Hype darum, welche
Technologien in Zukunft zu erwarten sind. Angesichts
aktueller Sicherheitsrisiken besteht aber bereits jetzt ein
akuter Bedarf an solchen Lösungen. Dazu Gary Collins, CTO
des Online-Dienstanbieters Intercept-IT: „Wir erbringen
unsere Online-Dienste heute komplett mit Zwei-FaktorenAuthentifizierung. Ohne Frage muss jeder Cloud-basierte
Service auf soliden und sicheren Grundlagen beruhen - und
den Unternehmen ist zu raten, jetzt zu handeln. Wir halten
den Rat von Jason Hart für entscheidend und glauben, dass
er eine Lösung für den Bedarf von heute bietet, die kein
Marketing-Hype ist.“
“Für unsere Kunden ist es eine echte Herausforderung, Cloud-basierte und
Managed Services zu implementieren. Unser Beratungsteam empfiehlt jedem
Kunden, zuvor die Richtlinien ihrer Dienstanbieter umfassend zu prüfen. Wir
erbringen bereits seit zehn Jahren Dienstleistungen im Bereich Managed
Security und uns liegt daran, dass jeder unserer Kunden diesen Rat befolgt.”
Richard Carty, Netshield
6
Sechs Schritte, um heute zu gewährleisten, dass Ihre Cloud sicher ist
Hart’s recommendations are simple and easy to implement.
Many of them use cloud-based solutions to reduce cost and management headache:
1. ALLE Benutzer im sicheren Umgang
mit dem Internet unterweisen
Mitarbeiter, die bei der Arbeit das Internet nutzen, anhalten, riskante Verhaltensweisen zu vermeiden: Kein
Austausch und kein Notieren von Passwörtern, keine Preisgabe vertraulicher Informationen als Reaktion auf
Phishing-Mails und kein Herunterladen von Dokumenten ohne Prüfung der Quelle.
2. Eine DETAILLIERTE
Schwachstellenanalyse, einen
Penetrationstest und einen
Anwendungstest durchführen.
Sicherstellen, dass alle „Grenzen“
abgesichert sind.
Jeden Netzwerkeingangs-/ausgangspunkt prüfen, um festzustellen, wo ein Angriff eine Grenzverletzung
verursachen könnte – eine Schwachstellenanalyse und Prüfwerkzeuge können Bedrohungspotenziale aufdecken.
Mit Sofortmaßnahmen die Schwachstellen bei der IT-Sicherheit eliminieren. An den Stellen investieren,
bei denen das größte Risiko für das Geschäft liegt. Im Rahmen der Sicherheitsrichtlinien routinemäßige
Schwachstellenanalysen durchführen. Sicherstellen, dass Mitarbeiter und Auftragnehmer die internen
Sicherheitsrichtlinien beachten. Die Sicherheitsrichtlinien aller Lieferanten und Dienstleister prüfen.
• Jeder fünfte IT-Leiter glaubt, dass die Anlagen der Auftragnehmer weniger sicher sind als die eigenen, führt aber
das Outsourcing fort.
• Nur 64 Prozent der IT-Leiter in mittelständischen Unternehmen erwarten von Auftragnehmern formale
Sicherheitsabläufe und -richtlinien. (NCCGroup Report)
3. Auf JEDEM Gerät aktuelle
Antivirensoftware einsetzen
– für alle Geräte, Server und
Homecomputer im Unternehmen.
Geraten Sie nicht in Versuchung, hier den Rotstift anzusetzen. Der Schutz vor Bedrohungen mit automatischen Scans,
Updates und Virenalarmen kostet weit weniger als die Wiederherstellungsmaßnahmen nach einem Cyber-Angriff.
• Jedes fünfte Mittelstandsunternehmen verzeichnete im vergangenen Jahr einen Angriff, der finanzielle Verluste
zur Folge hatte.
• 70 Prozent der Unternehmen räumten das Risiko ein, dass eine schwerwiegende Verletzung der Datensicherheit
das Ende des Unternehmens bedeuten könnte (McAfee Labs Report)
4. GRUNDSÄTZLICH eine Firewall
verwenden. Nicht benutzte Dienste,
Ports und Protokolle sperren.
Moderne Firewalls schützen sowohl vor internen als auch vor externen Angriffen. Dabei verhindern sie
typischerweise unberechtigte Zugriffe oder hindern Benutzer am Netzwerkzugang. Mit der richtigen FirewallImplementierung stellen Sie sicher, dass Ihre mobilen Mitarbeiter Zugriff auf wichtige Ressourcen mit einem
reibungslosen Datenaustausch haben. So gewährleisten Sie eine hohe Produktivität und sorgen dabei dafür,
dass das Netzwerk sicher bleibt.
5. Für ALLE sensiblen Informationen
– VPN, sichere E-Mail, tragbare
Geräte – Verschlüsselung und
Zertifikate verwenden
Verschlüsseln Sie alle Daten, besonders auf tragbaren Geräten. Eine alarmierend hohe Zahl an Mitarbeitern
missachtet vorhandene Sicherheitsrichtlinien und -verfahren. Eine der größten Bedrohungen geht von der
Übertragung vertraulicher Unternehmensinformationen auf USB-Sticks aus:
• eine Praxis, die 61 Prozent der Mitarbeiter einräumen.
• Mehr als 43 Prozent der Befragten geben zu, dass sie bereits ein tragbares Datengerät verloren haben oder dass
ihnen eines gestohlen wurde.
Untersuchung des Ponemon Institute: Trends in Insider Compliance with Data Security Policies 2009.
6. Für JEDEN Remote-Benutzer starke
Authentifizierung verwenden: ein
Acht-Zeichen-Passwort, eine starke
PIN, ein separates Token.
Sichern Sie Ihre Daten vor der unsichtbaren Gefahr des Hacking. Ihr Netzwerk ist nur so sicher wie das schwächste
Passwort. Konventionelle Passwörter gibt es seit den 1950er Jahren. Sie wurden für weit weniger komplexe
Netzwerke und Anwendungen konzipiert.
Bei der Zwei-Faktoren-Authentifizierung verwendet derjenige, der auf das Netzwerk zugreifen will, ein
Einmalpasswort. Da damit nur eine einmalige Authentifizierung möglich ist, ist einem Hacker nicht geholfen,
wenn er das Passwort herausbekommt. Die Verbindung zweier Faktoren, von etwas, das man weiß (eine PIN) und
von etwas, das man besitzt (ein Token oder eine Karte mit dem Einmalpasswort), macht der einfachen Preisgabe
konventioneller Passwörter ein Ende.
7
CRYPTOCard Europe
Secure Your World.
Tel: +49 221 510 7951
[email protected]
www.cryptocard.com